24時間年中無休の産業用設計のセキュリティを強化する機能的安全性

機械装置が年間を通じて24時間稼働するのが通常の産業環境では、安全性と信頼性が最も重視されます。このような環境では、電源が投入されていてもいなくても、システムをシャットダウンまたは起動するときは、ミッションクリティカルな産業用設計が常に適切に守られることが不可欠です。

フェイルセーフに基づく組み込みシステム設計のメカニズムについては十分な裏付けがある一方で、産業分野では新たに機能的安全性に対するコンプライアンスが加わりつつあります。機能的安全性の技術によって、完全に標準化されたセキュリティがもたらされ、信頼性を特に気遣う産業用設計にとってセキュリティの厚みが増します。

機能的安全性の技術に影響される産業用設計は、自律型ロボットから生命維持の医療機器やインテリジェントな輸送まで幅広い分野に及びます。機能的安全性を備えた部品には、CPU、SRAM、フラッシュメモリチップなどがあります。安全性の認証を受けた部品の利用により、システム開発者はシステムが特定の安全度水準（SIL）を満たしていることを証明できます。

機能的安全性対応のMCU

機能的安全性は、開発者が産業用設計で常に取り組まなければならない複雑で手間のかかる分野です。その代表的な例に、ロボットと人間の交流を処理するシステムがあります。最新の機能的安全性仕様に適合した設計のシステムでは、難しい規格の理解やソフトウェアをサポートするサードパーティの選択が必要になります。

このような例では、デュアル構成のMCUによって、診断ソフトウェアを使用しながらシンプルな安全性の検証が可能になります。このシナリオでは、組み込み設計者がMCU固有の機能的安全性ソフトウェアを開発する必要がなくなります。

Renesas ElectronicsのRXファミリ マイクロコントローラはその代表例です。このマイクロコントローラは、IEC 60730機能的安全性規格に準拠しており、同マイクロコントローラによって機能する産業用デバイスのフェイルセーフ動作を容易にします。さらに、Renesasは先ごろIEC 61508 SIL3認定の機能的安全性ソフトウェアをRXファミリのMCU向けに追加しました。この新しい安全機能は、RenesasのRXv2コアに基づく全Renesas MCU製品に対応します。

この機能的安全性ソリューションにはSIL3システムソフトウェアキットが付属しており、このキットに含まれる相互診断機能は、デュアルMCU構造を前提に、安全な機能と安全でない機能との間でソフトウェアの分離を可能にします（図1）。デュアル構造のMCU設計は、RX71MおよびRX651マイクロコントローラを中心に構築されています。

図1：Renesasによると、デュアルMCUアーキテクチャでの相互診断の実行により世界初のSIL3認証を取得しました。（画像提供：Renesas Electronics）

さらにもう1つ、産業用途に必要な機能的安全性を実現するマイクロコントローラとして、Texas InstrumentsのHercules RM57Lxがあります。このデバイスにより、設計者はIEC 61508規格に簡単に素早く準拠できます。またこのデバイスは、航空向けアンチスキッド、プログラマブルロジックコントローラ（PLC）、モータ、駆動装置、鉄道信号などの幅広い産業用途に各種の安全機能をもたらします。

Hercules MCUの安全機能に基づいて構築されたRM57Lxマイクロコントローラは、シングルビットエラー訂正とダブルビットエラー検出を備えており、これらは命令キャッシュとデータキャッシュにエラー訂正コード（ECC）を利用するとともに、ペリフェラルRAMバッファを選択します。

機能的安全性を備えたフラッシュ

機能的安全性は一般に自動車の設計と結び付けられますが、上述のMCUの例に見られるように産業用設計ともきわめて結びつきが強く、特に24時間常に休みなく稼働する産業用設計ではそれが顕著です。それを踏まえた上で、フラッシュメモリにはどうしても言及する必要があります。フラッシュはミッションクリティカルな産業システムに欠かせないもう1つの重要な構成ブロックだからです。フラッシュも、該当する機能的安全性の規格に準拠しなければなりません。これにより産業用設計では、セキュアなストレージ、および複雑なシステムコード/アルゴリズムへの信頼性の高いアクセスを実現する上で、フラッシュメモリがその最前線の部品として位置付けられます。

フラッシュメモリのアーキテクチャには、複数のパーティションを備えたものがあり、それらのパーティションは、高耐久性と長い保持期間を可能にするために個別に最適化されています。高耐久性とデータ保持の機能は、システム障害から産業用設計を保護する上で重要な要素です。

たとえば、Cypress SemiconductorのSemper™ NORフラッシュは、同社のEnduraFlexアーキテクチャを中心に構築されています（図2）。この製品は、100万回を超えるプログラム/消去サイクルの耐久性と、-40°C～+125°Cの極端な低温から高温の範囲で25年以上のデータ保持が可能です。頻繁なデータ書き込みの場合、EnduraFlexアーキテクチャにより、512Mビット密度の部品では最大128万回のプログラム/消去サイクル、1Gビットの部品では256万回のサイクルを実現するように構成可能なパーティションを容易に設定できます。

図2：このSemper NORフラッシュアーキテクチャのブロック図では、組み込みの機能的安全性と信頼性の構成ブロックがハイライトされています。（画像提供：Cypress Semiconductor）

Semper NORフラッシュは、SafeBootおよびエラーチェック機能を備えており、産業用途での安全で信頼性の高い運用が保証されます。また、メモリアレイプログラミングの中で組み込みECCを生成することにより、シングルおよびダブルECCの両方をサポートします。なお、NXP Semiconductorsは、同社の産業用MCU製品にSemper NORフラッシュを活用するMCUベンダーの1社でもあります。

機能的安全性ツールセット

機能的安全性の全体像を完成させる最後のピース、それは安全性重視の産業用システムおよびデバイス向けのツールセットです。産業用組み込みシステムの運用に寄与するこのようなツールセットは、今まさに機能的安全性の時流に乗ろうとしています。

機能的安全性の要件をともなう組み込みシステムの数は着実に増えており、機能的安全の認証を受けたコンポーネントで実行して（たとえば）共通要因故障などを分析できる安全分析ツールの必要性が高まっています。

分析手法には、FMEDA（failure mode effects and diagnostic analysis）のような定量的な分析手法があり、これはMCUの安全性の統合など、部品の有効性判定に役立ちます。さらに診断的なソフトウェアツールがあり、これによりハードウェアの安全対策と規定された安全性の要件との溝を埋めることができます。

たとえば、Renesasは組み込みアプリケーション向け診断ソフトウェアの開発に、IAR Systemsの認証取得済ツールスイートを使用しています。図3に示すように、RX MCU用のIAR Embedded Workbenchには高性能のコンパイラとデバッガが含まれており、それらは扱いやすい統合開発環境（IDE）に組み込まれています。

図3：この図には、IAR Embedded WorkbenchがRenesas RXマイクロコントローラの安全性関連ソフトウェア開発をいかに容易にするかが示されています。（画像提供：IAR Systems Software）

安全性重視のシステムの検証に使用するツールセットは、産業用設計の信頼性を向上させるために、関連する安全面のみに焦点を絞ることができます。このようなツールセットには、通常、警告インジケータやテキストとともに、豊富なグラフィックコンテンツが含まれています。

結論を述べると、安全性はハードウェアとソフトウェアの両方を駆使して設計しなければならないということです。幸運にも、今は開発者がこれらの両方を自由に活用できます。